OPTIONSBLEED

For topics beyond KeyHelp. / Für Themen jenseits von KeyHelp.
Post Reply
select name from me;
Posts: 579
Joined: Tue 9. Feb 2016, 16:44

OPTIONSBLEED

Post by select name from me; »

Hallo zusammen,

da hier einige Keyhelp User Reseller sind, ist dieser Artikel vielleicht für euch interessant:
https://www.golem.de/news/optionsbleed- ... 30105.html
Viele Grüße, Christian
User avatar
Jolinar
Community Moderator
Posts: 3560
Joined: Sat 30. Jan 2016, 07:11
Location: Weimar (Thüringen)
Contact:

Re: OPTIONSBLEED

Post by Jolinar »

Wobei man hier entschärfend dazu erwähnen sollte, daß schon entsprechende Patches im Umlauf sind bzw. in den nächsten Stunden zur Verfügung stehen dürften.
Letztlich wird das aktuelle Risiko dadurch bestimmt, wie zuverlässig die Updatemechanismen auf den betroffenen Servern etabliert wurden.
Wenn jemand inkompetent ist, dann kann er nicht wissen, daß er inkompetent ist. (David Dunning)

Data Collector für Community Support
___
Ich verwende zwei verschiedene Schriftfarben in meinen Beiträgen /
I use two different font colors in my posts:
  • In dieser Farbe schreibe ich als Moderator und gebe moderative Hinweise oder begründe moderative Eingriffe /
    In this color, I write as a moderator and provide moderative guidance or justify moderative interventions
  • In dieser Farbe schreibe ich als Community Mitglied und teile meine private Meinung und persönlichen Ansichten mit /
    In this color, I write as a community member and share my personal opinions and views
User avatar
Martin
Posts: 984
Joined: Wed 20. Jan 2016, 00:43

Re: OPTIONSBLEED

Post by Martin »

Hallo,

ich würde mich hier Jolinar anschließen wollen. Bei KeyHelp Systemen in der Standardkonfiguration würde hier zumindest jede Nacht nach entsprechenden Updates gesucht und diese dann auch eingestellt.

Sofern nicht mutwillig konfiguriert ist mir eine derartige Fehlkonfiguration der Limit Direktive bisher auch noch nie untergekommen.
Viele Grüße,
Martin
select name from me;
Posts: 579
Joined: Tue 9. Feb 2016, 16:44

Re: OPTIONSBLEED

Post by select name from me; »

Ja, ihr habt sicher recht.
Martin wrote: Mon 18. Sep 2017, 22:36 Sofern nicht mutwillig konfiguriert ist mir eine derartige Fehlkonfiguration der Limit Direktive bisher auch noch nie untergekommen.
Das ist das potentielle Problem für die Reseller. Soweit ich verstanden habe, kann jeder User, der eine .htaccess anlegen kann, dieses Problem für den ganzen Server verursachen. Mutwillig oder unabsichtlich.

Deshalb poste ich das hier. Es soll ja Leute geben, die Updates nicht automatisch installieren lassen. :mrgreen:
Viele Grüße, Christian
User avatar
Jolinar
Community Moderator
Posts: 3560
Joined: Sat 30. Jan 2016, 07:11
Location: Weimar (Thüringen)
Contact:

Re: OPTIONSBLEED

Post by Jolinar »

select name from me; wrote: Tue 19. Sep 2017, 09:58Es soll ja Leute geben, die Updates nicht automatisch installieren lassen. :mrgreen:
Oh ja, leider immer noch viel zu viele :roll:
Und da man im KH-Panel die Paket-Updates deaktivieren kann, wären auch KH-Instanzen in einer solchen Situation angreifbar.

Deshalb würde ich gerne die Idee mit den Systemmails bei erfolgten Panel-Updates aufgreifen und eine Erweiterung anregen...Wäre es vielleicht auch hier sinnvoll, eine Systemmail zu generieren, wenn die Paket-Updates im Panel deaktiviert sind und neue Paket-Updates verfügbar sind?
So hätte der Admin die Info, daß Handlungsbedarf besteht und kann dann entsprechend tätig werden.
Achja, das würde in meinen Augen dann analog auch für Panel-Updates Sinn machen, wenn diese Updatefunktion ebenfalls deaktiviert wäre und Panel-Updates verfügbar sind.
Wenn jemand inkompetent ist, dann kann er nicht wissen, daß er inkompetent ist. (David Dunning)

Data Collector für Community Support
___
Ich verwende zwei verschiedene Schriftfarben in meinen Beiträgen /
I use two different font colors in my posts:
  • In dieser Farbe schreibe ich als Moderator und gebe moderative Hinweise oder begründe moderative Eingriffe /
    In this color, I write as a moderator and provide moderative guidance or justify moderative interventions
  • In dieser Farbe schreibe ich als Community Mitglied und teile meine private Meinung und persönlichen Ansichten mit /
    In this color, I write as a community member and share my personal opinions and views
User avatar
Martin
Posts: 984
Joined: Wed 20. Jan 2016, 00:43

Re: OPTIONSBLEED

Post by Martin »

Hallo,

für eine Infomail über Debian/Ubuntu Updates würde ich hier "apticron" empfehlen, was genau diesen Zweck hat. Dies in KeyHelp zu integrieren halte ich aktuell nicht für unbedingt notwendig.
Viele Grüße,
Martin
User avatar
Jolinar
Community Moderator
Posts: 3560
Joined: Sat 30. Jan 2016, 07:11
Location: Weimar (Thüringen)
Contact:

Re: OPTIONSBLEED

Post by Jolinar »

Martin wrote: Tue 19. Sep 2017, 14:33für eine Infomail über Debian/Ubuntu Updates würde ich hier "apticron" empfehlen, was genau diesen Zweck hat. Dies in KeyHelp zu integrieren halte ich aktuell nicht für unbedingt notwendig.
Es ging mir auch nicht um die unbedingte Notwendigkeit, sondern eher um die optionale Möglichkeit, den Admin auf notwendige Arbeiten hinzuweisen.
Viele Admins, die nicht so tief in der Materie stecken, verwenden auch gerade deswegen Adminpanels, weil sie davon ausgehen, daß das Panel eine Art "Rundum-Sorglos-Paket" ist.

Meine Intention hinter der Idee war eigentlich ein gewisser Schutzmechanismus.
Ein Beispiel: Der Admin liest irgendwo, daß man Paket-Updates besser manuell anstoßen sollte, damit man mitbekommt, wenn dabei Fehler auftreten. Also deaktiviert er die Updatefunktion im Panel. Das funktioniert theoretisch auch, solange man nur regelmäßig genug manuelle Updates macht oder (wie du empfiehlst) Tools wie apticron nutzt.
Oft genug aber schleicht sich irgendwann dann doch Nachlässigkeit ein und dann ist das Geschrei groß, wenn aufgrund fehlender Updates eine Sicherheitslücke ausgenutzt wurde.

P.S.:
Ich verwende übrigens apticron auf all meinen Kisten und möchte dieses Tool auch nicht missen. Zusätzlich sind noch die wichtigsten Mailinglisten abonniert, so daß ich immer auf dem Laufenden bin, was potentielle Lücken in der Software angeht. :)
Wenn jemand inkompetent ist, dann kann er nicht wissen, daß er inkompetent ist. (David Dunning)

Data Collector für Community Support
___
Ich verwende zwei verschiedene Schriftfarben in meinen Beiträgen /
I use two different font colors in my posts:
  • In dieser Farbe schreibe ich als Moderator und gebe moderative Hinweise oder begründe moderative Eingriffe /
    In this color, I write as a moderator and provide moderative guidance or justify moderative interventions
  • In dieser Farbe schreibe ich als Community Mitglied und teile meine private Meinung und persönlichen Ansichten mit /
    In this color, I write as a community member and share my personal opinions and views
User avatar
Martin
Posts: 984
Joined: Wed 20. Jan 2016, 00:43

Re: OPTIONSBLEED

Post by Martin »

Hallo,

hm, ja ich verstehe den Gedankengang. Aber ich sehe eher, dass ein "Admin" bei entsprechend niedlichem Kenntnisstand dann die Standardeinstellungen belässt (automatische Updates an). Oder, wenn er diese manuell installieren will und die automatischen Updates abschaltet (was ja eine entsprechende Intention benötigt) dann auch soweit denken sollte hier regelmäßig selbst zu prüfen oder Tools wie apticron zu nutzen.
Viele Grüße,
Martin
User avatar
Reseller4711
Posts: 210
Joined: Thu 5. May 2016, 17:50

Re: OPTIONSBLEED

Post by Reseller4711 »

Martin wrote: Tue 19. Sep 2017, 15:16 ... ein "Admin" bei entsprechend niedlichem Kenntnisstand ....
Ich bin so einer. Gerade deshalb schätze und hoffe ich, dass Keyhelp Adminsoftware mit all den Voreinstellungen, all dieses für mich macht. Und als Keyweb Kunde schätze ich den Managed Service, den ich lieber einmal mehr frage, bevor ich was verbocke ;-)
User avatar
Martin
Posts: 984
Joined: Wed 20. Jan 2016, 00:43

Re: OPTIONSBLEED

Post by Martin »

Hallo,

ich bezog mich ja auf den Umstand, wenn jemand dann die Standardeinstellungen selbst ändert (z.B. automatische Updates aus). Dieser sollte dann schon grundlegend wissen was er tut und dann ggf. selbst mit "apticron" für weitere Benachrichtigung sorgen.

Grundlegend kann man apticron natürlich auch einmal mit in den Standardumfang aufnehmen, für besonders dringend halte ich das aber persönlich nicht.
Viele Grüße,
Martin
Post Reply